美相关 APT 组织分析报告 — APT-C-39(CIA)

美国中央情报局(Central Intelligence Agency，简称 CIA)是美国联邦政府主要情报机构之一，总部位于美国弗吉尼亚州兰利。

其主要业务范围涉及:

• 收集外国政府、公司和公民情报信息

• 综合分析处理其他美国情报机构收集的情报信息

• 向美国高层决策者提供国家安全情报和安全风险评估意见

• 根据美国总统要求组织实施和指导监督跨境秘密活动等

长期以来，美国中央情报局(CIA) 在世界各地秘密实施 "和平演变" 和 "颜色革命"，持续进行间谍窃密活动。进入二十一世纪以来，互联网的快速发展给美国中央情报局(CIA) 的渗透颠覆和捣乱破坏活动提供了新的机遇，全球各地使用美国互联网设备和软件产品的机构和个人成为美国中央情报局(CIA) 的傀儡 "特工"，帮助该机构迅速成为网络谍报战中的耀眼 "明星"。

组织架构

公开资料显示，CIA 下设情报处(DI)、秘密行动处(NCS)、科技处(DS&T)、支援处(DS)四个部门。

情报处(DI):

情报部是对情报信息的接收、诠释、分析和加工部门，主要任务是编写有关国际政治、经济、科技和军事方面的“动态情报”以及供总统和决策班子参考的文件，如供总统阅读的《每日要闻》、部级官员参考的《国家情报日报》、《国家情报简报》和一些专题性周刊;另一任务是对公开资料的研究，撰写定期的专题性研究报告。该部下设 8 个室及 2 个中心，有 3500 多名工作人员。

秘密行动处(NCS):

是中情局内最大的情报搜集部门，主要负责向世界各地派遣间谍，参与、影响和颠覆外国政府的隐藏行动以及反间谍工作等，至少有 6000 多名工作人员，其中约有 4800 特工人员经常派驻国外，其中 2/3 人员从事谍报、反间谍和联络等情报工作，其余人员主要从事隐藏行动;大多数以国务院或国防部代表的官方合法身份作保护，从事联络、谍报及反谍报活动。

科技处(DS&T):

该部成立于 1963 年，有工作人员 1300 多人。下设 6 个业务处(中心)，即研究开发处、研究与工程设计处、外国广播收讯处、技术服务处和国家图像判读中心。部长由主管科技的副局长兼任。

该部的职责是进行基础研制工作，即对技术系统的研究、开发与使用业务(包括间谍卫星的操纵以及对尖端技术领域进行分析论证) 编写科技情报。此外，它还负责中情局的大部分电子资料处理业务，并对各科学领域进行广泛的研究。

支援处(DS):

该部工作人员约 5000 人，部长由主管行动的副局长兼任。下设 8 个业务处，即卫生处(医务)、安全处(保卫)、训练与教育处、财务处、后勤处、人事处、信息处和通讯处。

该部是中情局的行政治理部门，主要是协助行动部进行隐藏行动，还为科学服务部和情报部提供各种形式的支援，并负责通讯、总务和训练等方面工作。

组织归因分析

2020 年 3 月，360 公司分析论证了一起美国中央情报局攻击组织(APT-C-39) 对中国关键领域进行长达 11 年渗透的网络攻击事件。中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击，并主要集中在北京、广东、浙江等省份。

360 公司通过一系列证据，确认他们发现的 APT-C-39 网络攻击确系来自美国中央情报局 CIA。具体关联证据如下:

证据一:

APT-C-39 组织使用了大量 CIA "Vault7(穹窿 7)" 项目中 的专属网络武器。研究发现，APT-C-39 组织多次使用了 Fluxwire，Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息，可以确定该组织使用的网络 武器即为 "Vault7(穹窿 7)" 项目中所描述的网络攻击武器。

证据二:

APT-C-39 组织大部分样本的技术细节与 "Vault7(穹窿 7)" 文档中描叙的技术细节一致。360 安全云分析发现，大部分样本的技术细节与 "Vault7(穹窿 7)" 文档中描叙的技术细节一致，如控制命令、编译 pdb 路径、加密方案等。这些是规范化的攻击组织常会出现的规律性特征，也是分类它们的方法之一。所以，确定该组织隶属于 CIA 主导的国家级黑客组织。

证据三:

早在 "Vault7(穹窿 7)" 网络武器被维基解密公开曝光前，APT-C-39 组织就已经针对中国目标使用了相关网络武器。2010 年初，APT-C-39 组织已对我国境内的网路攻击活动中，使用了 "Vault7 (穹窿 7)" 网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维 基百科对 "Vault7(穹窿 7)" 网络武器的曝光。这也进一步印证了其网络武器的来源。在通过深入分析解密了 "Vault7(穹窿 7)" 网络武器中 Fluxwire 后门中的版本信息后，360 安全云将 APT-C-39 组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类，如下表:

从表中可以看出，从 2010 年开始，APT-C-39 组织就一直在不断升级最新的网络武器，对我国境内目标频繁发起网络攻击。

证据四:

APT-C-39 组织使用的部分攻击武器同 NSA 存在关联。 WISTFULTOLL 是 2014 年 NSA 泄露文档中的一款攻击插件。在 2011 年针对我国某大型互联网公司的一次攻击中，APT-C-39 组织使用了 WISTFULTOOL 插件对目标进行攻击。与此同时，在维基解密泄露的 CIA 机密文档中，证实了 NSA 会协助 CIA 研发网络武器，这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。

证据五:

APT-C-39 组织的武器研发时间规律定位在美国时区。根据该组织的攻击样本编译时间统计，样本的开发编译时间符合北美洲的作息时间。

恶意软件的编译时间是对其进行规律研究、统计的一个常用方法，通过恶意程序的编译时间的研究，我们可以探知其作者的工作与作息规律，从而获知其大概所在的时区位置。下表就是 APT-C-39 组织的编译活动时间表(时间我们以 东8 时区为基准)，可以看出该组织活动接近于美国东部时区的作息时间，符合 CIA 的定位。(位于美国弗吉尼亚州，使用美国东部时间。)

综合上述技术分析和数字证据，我们完全有理由相信:

APT-C-39 组织隶属于美国，是由美国情报机构参与发起的攻击行为。

攻击武器

2017 年 3 月，"维基解密" 曝光了 "Vault7" 秘密黑客项目，在一份被称为 "Year Zero" 的档案中，披露了 8716 份来自 "美国中央情报局"(CIA)黑客部队的文件。这犹如一颗重磅炸弹，震惊世界。

据披露的文件显示，"Vault7" 黑客工具是美国中央情报局(CIA) 从事网络战的重要武器，能够结合多种计算机病毒、恶意软件、木马程序，对苹果、安卓手机系统、Windows 电脑操作系统进行攻击。

丢下这颗重磅炸弹的是美国中央情报局(CIA)的前雇员约书亚·亚当·舒尔特(Joshua Adam Schulte)。

约书亚 1988 年 9 月 出生于美国德克萨斯州拉伯克，毕业于德萨斯大学斯汀分校，曾作为实习生在美国国家安全局(NSA) 工作过一段时间，于 2010 年加入美国中央情报局 CIA，在其秘密行动处(NCS) 担任科技情报主管。

(国家秘密行动处(NCS) 充当中央情报局秘密部门，是协调、去除冲突以及评估美国情报界秘密行动的国家主管部门)

精通网络武器设计研发专业技术，又懂情报运作，约书亚成为 CIA 诸多重要黑客工具和网络空间武器主要参与设计研发者核心骨干之一。其中就包含 "Vault7(穹窿 7)" CIA 这一关键网络武器。

2016 年，约书亚利用其在核心机房的管理员权限和设置的后门，拷走了 "Vault7(穹窿 7)" 并 "给到" 维基解密组织，该组织于 2017 年 将资料公布在其官方网站上。

2018 年，约书亚因泄露行为被美国司法部逮捕并起诉，2020年2月4日，在联邦法庭的公开听证会上，检方公诉人认定，约书亚作为 CIA 网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人，将网络武器交由维基解密公开，犯有 "在中央情报局历史上最大的一次机密国防情报泄露事件"

以上约书亚的个人经历和泄露的信息，为我们提供了重要线索，而其研发并由美国检方公诉人证实的核心网络武器 "Vault7(穹窿 7)"， 成为实锤 APT-C-39 隶属于美国中央情报局 CIA 的重要突破口。

据 360 跟踪发现，CIA 网络武器使用了极其严格的间谍技术规范，各种攻击手法前后呼应、环环相扣，现已覆盖全球几乎所有互联网和物联网资产，可以随时随地控制别国网络，盗取别国重要、敏感数据，而这无疑需要大量的财力、技术和人力资源支撑。其中代表性武器如下:

Fluxwire(磁通线)后门程序平台

一款支持 Windows、Unix、Linux、MacOS 等 9 种主流操作系统，和 6 种不同网络架构的复杂后门攻击行动管理平台，可将众多 "肉鸡" 节点组成完全自主运行的网状网络，支持自我修复、循环攻击和多路径路由。

Athena(雅典娜)程序

一款针对微软 Windows 操作系统的轻量级后门程序，由美国中央情报局(CIA) 与美国 Siege Technologies 公司(2016 年被 NehemiahSecurity 收购)合作开发，可以通过远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入，以微软 Windows 服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。

Grasshopper(蚱蜢)后门程序

一款针对微软 Windows 操作系统的高级可配置后门程序，可生成多种文件格式形式的(EXE，DLL，SYS，PIC)恶意荷载，支持多种执行方式，配以不同插件模块后，可隐蔽驻留并执行间谍功能。

AfterMidnight(午夜之后)后门程序

一款以微软 Windows 操作系统 DLL 服务形式运行的轻量级后门，它通过 HTTPS 协议动态传输、加载 "Gremlins" 模块，全程以加密方式执行恶意荷载。

ChimayRed(智美红帽)漏洞利用工具

一款针对 MikroTik 等品牌路由器的漏洞利用工具套件，配合漏 洞利用可植入 "TinyShell" 等轻量级网络设备后门程序。

HIVE(蜂巢)网络攻击平台

"蜂巢"网络攻击平台由美国中央情报局(CIA) 下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC) 旗下公司联合研发，它为美国中央情报局(CIA) 网络攻击团队提供一种结构复杂的持续性攻击窃密手段。

它管理利用全球范围内数量庞大的失陷资产，组成多层动态跳板和秘密数据传输通道，7×24小时向美国中央情报局(CIA) 上传用户账户、密码和隐私数据。

CIA "Vault7(穹窿7)" 武器从侧面显示美国打造了全球最大网络武器库，而这不仅给全球网络安全带来了严重威胁，更是展示出该 APT 组织高超的技术能力和专业化水准。

攻击案例

间谍行动 — CIA长期秘密打造人工间谍和间谍武器

2014 年 12 月 21 日，"维基解密" 网站发布两份美国中情局机密文件。这两份文件为在国外执行任务的特工 "出谋划策"，教他们如何持假身份证件顺利入境。

2017 年 11 月，维基揭秘最新曝光的中情局网络间谍活动的秘密文件代号为 "8 号保险库"。文件内容包括：为了隐瞒电脑病毒的来源，中情局研制出一款名叫 "蜂巢"的非法源代码，可以将病毒伪装成其它组织和公司的恶意软件，从电脑中窃取机密。

窃听事件 — CIA秘密窃听全球 120 国

2020 年 2 月 11 日，《华盛顿邮报》和德国公共广播公司的联合调查，从上世纪 70 年代开始，美国中央情报局(CIA) 和德国联邦情 报局秘密收购了瑞士一家加密公司，利用其设备窃听了全球 120 个国家。对此，瑞士表示已经展开调查。

攻击渗透 — CIA对中国关键领域发起长达11年网络攻击渗透

2021 年 7 月 20 日，中国国家互联网应急中心数据显示，2020 年位于境外的约 5.2 万个计算机恶意程序控制服务器，控制了中国境内约 531 万台主机，就控制中国境内主机数量来看，美国及其北约盟国分列前三位。

美国中央情报局的网络攻击组织 APT-C-39，曾对中国航空航天科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达 11 年的网络渗透攻击。

原文地址：https://cdn.isc.360.com/iscvideo-bucket/APT_organization_analysis.pdf

原文始发于微信公众号（刨洞安全团队）：美相关 APT 组织分析报告 — APT-C-39(CIA)